原文標題:《囂張的黑客,和正在消失的防護網...……》
失序的區塊鏈行業里,時刻隱藏著風險,黑客就是其一。就像武俠里的江洋大盜,他們隨時出沒在存儲著大量數字貨幣的區塊鏈錢包、交易所、DApp里,伺機挖掘漏洞,竊取資產。
據粗略統計,近一個月內,區塊鏈領域涉百萬以上黑客攻擊事件近5起。
另一面,多數項目拿這些黑客并沒有辦法。尤其是幣圈進入熊市大半年以來,不少公司都鬧錢荒。區塊鏈安全防護系統因資金匱乏,防護能力正在變弱。
安全團隊BYSECCOO劉澤坤告訴記者,其平臺上注冊有5000多名網絡安全工程師,但在「生存第一」的熊市下,安全防護下降為弱需求。目前愿意付費做安防的僅有10余家。
代碼安全無法守護,共識安全也岌岌可危。
熊市中,一部分礦工由于入不敷出關機蟄伏,直接導致了PoW網絡算力下跌,閑置算力成為「散兵游勇」,威脅著公鏈的安全。
礦工是共識安全的守護者,他們的缺位給了攻擊者可趁之機,本月初ETC遭遇51%攻擊即是一例。
這張本該嚴密的安全防護網,隨著熊市的持續,一個個牽引的防護點正在消失。
MakerDAO聲明:無法控制Oasis,Jump反向攻擊黑客不涉及其智能合約:2月25日消息,因Jump Crypto與Oasis聯合通過逆向攻擊追回12萬枚ETH的Wormhole被盜資金,MakerDAO發推特聲明,鑒于最近有關 Maker Vault 30100和Oasis前端的交易,需要解釋 MakerDAO、Maker 協議和第三方前端提供商之間的區別。MakerDAO 無法控制任何使終端用戶能夠訪問 Maker Vaults 的前端提供商或產品。
此外,連接到 Maker 協議的可用前端都不是由 MakerDAO 開發或維護的Maker 協議是一個去中心化的智能合約系統,公開部署在以太坊上,允許任何供應商以無許可和去中心化的方式連接其用戶界面解決方案。這些用戶界面提供商可以控制他們部署的智能合約,使終端用戶能夠與 Maker 協議進行交互。最近更改 Maker Vault 30100 所有權的交易不涉及任何 MakerDAO 的官方智能合約或 MakerDAO 指令。其重申 MakerDAO 的智能合約不受 Oasis 前端智能合約的控制或控制。[2023/2/26 12:29:44]
頻繁的攻擊
去年12月27日發生的錢包釣魚事件可能是近來最大的黑客攻擊事件。
黑客組織正在銷售可以繞過以太坊哈希率限制器的軟件:金色財經報道,黑客組織LAPSUS$聲稱對最近黑掉芯片制造商Nvidia(NVDA)的事件負責,該組織竊取了1TB的內部信息。該組織表示,正在銷售一種定制驅動程序,可以幫助礦工繞過安裝在 Nvidia 高端游戲卡上的哈希率限制器。
去年,Nvidia為其旗艦產品GeForce GPU引入了hashrate限制器,以便為其核心玩家保留更多產品。在最近的一次華爾街會議上,這家芯片制造商表示,幾乎所有基于安培的產品都將加入哈斯勒特限制器,以阻止加密貨幣礦工使用它們進行挖礦。(coindesk)[2022/3/2 13:31:13]
據Cointelegraph消息,當日有用戶在社交媒體上爆料,有團體正在對加密貨幣錢包Electrum進行惡意攻擊,并竊取了近250個BTC。
消息隨后獲得Electrum證實,據介紹,該攻擊主要通過創建一個假版本的錢包,來騙取用戶的密碼信息。
2018年下半年,幣圈進入了明顯的熊市,不少項目開始減員收縮。但黑客永不眠,那些匯集資金的地方永遠是黑客的目標。
區塊鏈安全平臺DVP聯合創始人鄧煥也告訴記者,今年12月以來,越來越多的攻擊者將目光投向了EOSDApp。
Poly Network白帽黑客發公開信公布私鑰:8月23日消息,PolyNetwork攻擊事件黑客在今日下午通過鏈上轉賬留言,交出了3/4的多簽錢包秘鑰,并表示這是好的結局。該黑客自稱為Poly Network的首席安全顧問,表示:我的行動是深思熟慮后的決定,我想讓這件事情變得完美而永恒,包括今天公布的最后的私鑰。然而,有一點是美中不足的:在整個談判過程中,我唯一的請求,也是沒有立刻退款的唯一動機,就是為了解鎖被凍結的USDT。在我看來,這次美好的歷史事件被USDT凍結一事所玷污。如果我們利用非中心化的方式處理這部分被凍結的USDT,本可以成為一個利用智能合約在匿名對手間建立信任關系的完美案例。但這只是我個人的一廂情愿,由于交涉雙方的溝通并不同步,這個愿望可能永遠不會發生。可以說,把USDT作為原罪而扣留它其實是很公平的。
據此前報道,因為質疑Poly Network驗證人權限過大,白帽黑客并未與Poly Network團隊達成一致,未能移交私鑰。[2021/8/23 22:31:43]
根據區塊鏈安全網bcsec統計,12月份其搜索到區塊鏈領域發生的攻擊事件共有20余起,對行業造成損失約190萬美元,其中90%受攻擊的對象是EOS上的DApp。
比特幣組織CoroHope發起”生物黑客“活動 將自主研發冠狀病疫苗:比特幣組織CoroHope發起由比特幣眾籌資助的”生物黑客“活動,表示將自主研發冠狀病疫苗,不需要學術界、制藥公司和美國食品藥品監督管理局(FDA)。該組織聲稱擁有一位生物學家,他在為FDA生產類似疫苗方面已有10年經驗。(CoinDesk)[2020/3/12]
1月16日凌晨03:47-03:55之間,DAppShield監測到,有黑客向EOS競猜類游戲「影骰」發起連續攻擊,獲利超1萬個EOS。黑客采用的交易阻塞攻擊手段。一個月來,黑客已經憑借該手段發動了4次攻擊。
12月18日晚間至19日凌晨,多個EOS頭部DAPP則遭遇回滾交易攻擊。
遭受攻擊的幾款游戲基本為EOS頭部較活躍的競猜類游戲:EOSMax、ToBet、BigGame和BetDice。據PeckShield的數據,其中,BetDice一周日均活躍用戶數超5000人,交易額也在5000萬EOS以上。
與此同時,黑客利用重放攻擊漏洞攻破另一款競猜類游戲TRUSTBET。
這些集中攻擊,讓幾款游戲共損失303404.18EOS。以EOS當時的單價18元來測算,黑客盜走的金額達546萬元。
聲音 | 趙長鵬回應網友:黑客攻擊技巧很可能首先在幣安嘗試并被成功阻止:有推特網友轉發關于Coinbase曾在5月成功阻止一次黑客攻擊的推文并讓幣安“記筆記”。對此,趙長鵬回應稱:記下了。每筆交易每天都伴隨多次黑客攻擊企圖。FireFox的問題同樣適用于所有交易所。您還可以非常肯定地說,如果有黑客攻擊技巧在任何交易所上進行嘗試,它很可能首先在幣安進行并已經被阻止了。[2019/8/10]
對于這次攻擊,蔣旭憲曾表示,這次攻擊背后是同一個團伙或個人。另外,ECAF追回盜取的EOS預計難度較大,目前已經牽涉到1808個賬戶,數量還在增長中。
鄧煥分析指出,從早期針對以太坊的TheDAO,到最近的BCE、SMT代幣等事件,以太坊生態已經經過了一場來自黑客的「血的洗禮」,生態環境逐漸趨于安全。而DApp生態的第二翹楚EOS目前正處于蠻荒生長階段,于是黑客開始將魔爪伸向這里。
囂張的攻擊者
對于黑客而言,攻擊這種從別人口袋里掏錢的生意,只有錢難不難掏,沒有錢多錢少的分別。
我們知道,交易所是幣圈最大的聚寶盆,亦是黑客攻擊的高發地。即使在交易量大幅萎縮的境況下,交易所亦逃不過黑客的「摸排」。
賀凱是X交易所的市場負責人。「盡管在各個行情網站上排不上名,但被黑客‘打’卻是家常便飯。」
據他介紹,全球有約1.5萬家交易所,在業內稍微能說的出名字的,基本上三天兩頭就要來一次攻防戰。身處這個「聚寶盆」中,他已經見怪不怪。
但去年11月份的那次黑客尋釁事件,讓賀凱哭笑不得。
那天中午,X交易所的客服像往常一樣在微信群里和用戶聊天。
突然有人加她,沒有注明名字和事由,她通過了。
不料對方一上來就像查戶口似的問:「哎,你是X交易所的嗎?」
「你們其他聯系方式能給我一個嗎?」
對方看客服沒反應補充了句,「我要「打」你們了,怕到時聯系不上你們。這個是你們的啰?」
客服當時明白了,跟她聊天的這個人可能是個黑客。常規的黑客攻擊是先攻擊再勒索,而且最好能攻其不備以降低成本。待攻下后再聯系被攻擊方商談「贖金」事宜。
但這個黑客似乎勝券在握,就等著攻擊結束后的談判了。
「真是活久見」,客服心想。無奈,客服只得回復他:「你先打吧,打完再說。」
作為區塊鏈「白帽子」平臺的調度人,鄧煥沒少見這類令人咋舌的攻擊。
去年12月5日,幣安發布了一個去中心化交易所DEX。消息出來的第二天,DVP即觀察到,社交軟件中有個冒充DEX斂財釣魚網站。
下圖是該釣魚網站的主頁。從UI上看簡直可以以假亂真。
該網站放著幣安此前發布的DEX的宣傳視頻。并配文虛構了一個活動,稱為慶祝DEX的推出,特向全球粉絲贈送5000BTC作為回饋。參與活動的用戶需要先驗證地址,驗證時需發送0.1-10個BTC到指定地址,而后將獲得貢獻BTC數的10倍BTC。
在轉賬頁面,還伴有實時更新的獎池數量、該地址的轉賬交易記錄以及參與用戶的即時評價等,十分逼真。DVP當即發現有人轉賬,那些幣隨即被提走。
DVP向幣安報告了該情報。但該釣魚網站作為外部網站,幣安也拿他沒辦法。
DVP還發現,這個第二天就能上線高仿網站的攻擊者,之前還用同樣的手段模仿過OKEX,可謂在失序的世界中無法無天。即使熊市如此之涼,它也能抓住熱點穩賺一筆。
脆弱的「防護網」
在這些安全事件背后,是黑客不分牛熊的攻擊和熊市中防護網缺失的矛盾。
有數據顯示,目前全球有10000的區塊鏈項目,區塊鏈安全服務公司卻只有不到50家。從紅藍對抗的角度講,紅隊就要比藍隊弱得多。再遇熊市,恐會讓這一狀況更加惡劣。
當前,各個項目方、服務商在寒冬中縮小成本,其在安全上的需求也繼續弱化。這形成了一個惡性循環,在安全上投入越低便越容易遭到攻擊,造成的損失又將給項目方帶來致命的災難。
安全團隊BYSEC的COO劉澤坤和記者講了上個月發生的一個案例。一個以太坊上的菠菜類DApp遭遇黑客攻擊,數萬個ETH被盜,盡管其已做過基本的審計,但離相對安全仍然很遠。
按理說,每個項目都應投入10%的錢來保障100%的資金的安全,但很多團隊在縮減開支中跳過了這一步。
BYSEC團隊是個「白帽子」平臺,其上注冊了5000余名「白帽子」,大多是傳統安全業人員,在上面兼職挖漏洞領取賞金。
到了熊市,平臺上仍在支付賞金的項目方僅有10余家,BYSEC團隊只能提示平臺上的「白帽子」盡量只在這些付費廠家中挖洞,不然可能要變成「楊白勞」。
其他的廠家,要么沒有付費意愿,要么沒有付費能力。
在BYSEC發現一些交易所的重大漏洞后,劉澤坤帶著這些漏洞去聯系交易所,希望安全服務能得到適當回報。
但對方給出的答復卻經常是,「你們的這個服務的確很好,我們也很需要,但老實說我們的收入都沒這么多,實在是付不起。」「活都活不下去了,還講什么安全。就好像我都吃泡面了,你還跟我說泡面不健康。」
轉型謀生存
進入安全行業的錢變少了。一面沒了新的客戶、新的投入,一面是存量客戶已被瓜分殆盡。
安全團隊處境維艱。
慢霧安全團隊在此前的采訪時表示,蓬勃發展后,會進入類似紅海的階段,需要大家進行差異化競爭。比如現在經常有客戶問我們:你們和別人有什么不一樣?
大家需要進行差異化競爭才能活下來,BYSEC也認同這個觀點,并且正在考慮轉型。劉澤坤透露,團隊打算利用在安全行業的積累做一款數字貨幣的支付網關SAAS,面向數字貨幣的商家和C端用戶。
從服務對象和應用場景看,這似乎已和安全行業脫鉤了。但行業沒有生意,像BYSEC這樣的平臺并沒有什么好的辦法。
唯一值得欣慰的或許是,以技術見長的白帽子,如果要回到互聯網或是在其他領域做安全,轉換的成本不算太高。
本文來源于非小號媒體平臺:
Odaily星球日報
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627120.html
區塊鏈
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
BHB到底是什么「暗黑」項目?又為何讓30000人趨之若鶩?
Tags:MakerMAKEEOS區塊鏈makerdao是什么意思Masterpiece MakerPEOS區塊鏈專業方向好就業嗎
為了慶祝LBank期權交易火熱上線,并拓展PHV的交易場景。我們啟動了預算共10BTC的「PHV期權補償基金」激勵補償活動.
1900/1/1 0:00:005月23日,“世界數字經濟論壇暨WBFex亞洲啟動儀式”千人大會在深圳大中華喜來登酒店成功召開。中國200多家傳統及區塊鏈主流媒體,以及100萬線上觀眾,共同見證了此次論壇的盛大舉辦.
1900/1/1 0:00:00火星財經APP一線報道,美國獨立評級機構WeissRatings首席加密分析師JuanVillaverde撰文表示,目前或是2015年以來買入比特幣的最佳時機.
1900/1/1 0:00:00區塊鏈技術以前所未有的發展速度,聚焦全球資本和市場。而誰能在公鏈中脫穎而出,誰就能決定行業中的地位.
1900/1/1 0:00:00作為全球最大的投資機構之一,高盛銀行憑借幾乎不可撼動的地位統治著華爾街乃至整個世界。盡管高盛銀行近幾年的業績有所下滑,但持有25億美元股份的沃倫·巴菲特曾表示:“我對預測沒有太大的興趣,但是有一.
1900/1/1 0:00:00繼宣布裁員之后,數字貨幣支付公司Circle再一次傳來降低融資目標的消息。據悉,Circle創立于2013年,總部位于都柏林,是一家專注于移動支付和加密貨幣的創業公司,曾“美國版支付寶”稱號.
1900/1/1 0:00:00